Uppdateringar till LOLBAS

LOLBAS Living Off The Land Binaries and Scripts

LOLBAS-projektet (tidigare LOLBIN) har fått en mängd uppdateringar. LOLBAS står för Living Off The Land Binaries and Scripts, men inkluderar nu även bibliotek. Kriteriet för att räknas som en LOLBAS är att binären ska vara signerad av Microsoft samt ingår i operativsystemet Windows eller kan ladda hem från Microsoft.

Även ska binären inneha funktioner som ska vara användbar vid ett penetrationstest, red-teaming eller liknande. Detta kan vara nedladdning av filer, exekvering av godtycklig kod, kopiera fil, dumpa minne, UAC bypass eller liknande.

Nya uppdateringar innehåller följande binärer:

Aspnet_Compiler.exe, Certoc.exe, Cmdl32.exe, FltMC.exe, IMEWDBLD.exe, OfflineScannerShell.exe, OneDriveStandaloneUpdater.exe, PrintBrm.exe, SettingSyncHost.exe, Stordiag.exe, WorkFolders.exe, Procdump.exe

För att se samtliga binärer kan du surfa till: https://lolbas-project.github.io/ och projektet finns även på Github där du kan se ytterligare information. Ta exempelvis FltMC.exe där följande commit finns som beskriver binären och dess funktion som gör att den kan stänga av Sysmon:

---
Name: fltMC.exe
Description: Filter Manager Control Program used by Windows
Author: 'John Lambert'
Created: '2021-09-18'
Commands:
  - Command: fltMC.exe unload SysmonDrv
    Description: Unloads a driver used by security agents
    Usecase: Defense evasion
    Category: ADS 
    Privileges: Admin
    MitreID: T1562
    MitreLink: https://attack.mitre.org/techniques/T1562/002/
    OperatingSystem: Windows vista, Windows 7, Windows 8, Windows 8.1, Windows 10
Full_Path:
  - Path: C:\Windows\System32\fltMC.exe
Code_Sample: 
- Code:
Detection:
 - IOC: 4688 events with fltMC.exe
Resources:
  - Link: https://www.darkoperator.com/blog/2018/10/5/operating-offensively-against-sysmon
Acknowledgement:
  - Person: Carlos Perez
    Handle: '@Carlos_Perez'
---

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *